信息安全 (Infosec) 是一个广阔的领域。该领域在过去几年中得到了极大的发展和演变。它提供了许多专业方向,包括但不限于:
- 网络和基础设施安全
- 应用程序安全
- 安全测试
- 系统审计
- 业务连续性规划
- 数字取证
- 事件检测与响应
简而言之,信息安全是保护数据免遭未经授权的访问、更改、非法使用、破坏等的实践。信息安全专业人员也会采取行动以减少任何此类事件的整体影响。
数据可以是电子的或物理的,可以是有形的(例如设计蓝图)或无形的(知识)。在我们信息安全职业生涯中会多次出现的一个常见短语是保护“数据的保密性、完整性和可用性”,即CIA三要素。
风险管理流程 (Risk Management Process)
数据保护必须注重高效而有效的政策实施,同时不能对组织的业务运营和生产力产生负面影响。为了实现这一点,组织必须遵循一个称为风险管理流程的过程。这个过程包括以下五个步骤:
| 步骤 | 解释 |
|---|---|
| 识别风险 | 识别业务面临的风险,例如法律、环境、市场、监管及其他类型的风险。 |
| 分析风险 | 分析风险以确定其影响和可能性。应将风险映射到组织的各项政策、程序和业务流程。 |
| 评估风险 | 评估、排序和确定风险的优先级。然后,组织必须决定接受风险(不可避免)、规避风险(改变计划)、控制风险(缓解)或转移风险(投保)。 |
| 处理风险 | 尽可能消除或控制风险。这需要直接与风险相关的系统或流程的利益相关者对接来处理。 |
| 监控风险 | 必须持续监控所有风险。应持续监控风险,以发现任何可能改变其影响评分的情境变化,例如从低影响变为中或高影响。 |
如前所述,信息安全的核心理念是信息保障,即维护数据的CIA三性,并确保在发生事件时,数据不会以任何方式、形式或形态受到损害。事件可能是自然灾害、系统故障或安全事件。
红队 vs. 蓝队 (Red Team vs. Blue Team)
在信息安全领域,我们通常会听到红队和蓝队这两个术语。简单来说,红队扮演攻击者的角色,而蓝队扮演防御者的角色。
红队成员通常扮演对手角色,试图攻入组织以识别真正的攻击者可能利用来突破组织防御的任何潜在弱点。红队方面最常见的任务是渗透测试、社会工程学以及其他类似的攻击性技术。
另一方面,蓝队构成了信息安全工作的主体。它负责通过分析风险、制定政策、响应威胁和事件、有效使用安全工具以及其他类似任务来加强组织的防御。
渗透测试人员的角色 (Role of Penetration Testers)
安全评估员(网络渗透测试员、Web应用程序渗透测试员、红队成员等)帮助组织识别其外部和内部网络中的风险。这些风险可能包括网络或Web应用程序漏洞、敏感数据暴露、配置错误或可能导致声誉损害的问题。优秀的测试员可以与客户合作,识别其组织面临的风险,提供如何重现这些风险的信息,并就如何缓解或修复测试期间发现的问题提供指导。
评估可以采取多种形式,从针对所有在范围内的系统和应用程序的白盒渗透测试(以识别尽可能多的漏洞),到网络钓鱼评估(以评估风险或员工的安全意识),再到围绕特定场景构建的、模拟真实世界威胁参与者的定向红队评估。
我们必须理解组织面临的风险及其环境的全貌,以便准确评估和评定在测试期间发现的漏洞。对于任何开始从事信息安全工作的人来说,深刻理解风险管理流程都至关重要。
本模块将从实践角度重点介绍如何开始信息安全与渗透测试生涯,具体包括:选择和操作渗透测试发行版、了解常见技术和基本工具、学习渗透测试的层级和基础知识、在HTB上破解我们的第一个目标、如何最高效地寻求帮助、常见的潜在问题以及如何熟练使用Hack the Box平台。
虽然本模块使用Hack The Box平台和特意设计存在漏洞的机器作为示例,但所展示的基本技能适用于任何环境。
